偵測

WordPress < 3.5.2 多個弱點

medium Nessus Plugin ID 67021

語系:

概要

遠端 Web 伺服器包含一個受多個弱點影響的 PHP 應用程式。

說明

根據其版本號碼,遠端網頁伺服器上託管的 WordPress 安裝受到多個弱點影響:

- 應用程式中有一個拒絕服務攻擊,會影響貼文設有密碼保護功能的網站。
 (CVE-2013-2173)

- 應用程式受到一個伺服器端要求偽造弱點影響。此弱點可能會被用來取得網站存取權。(CVE-2013-2199)

- 存在一個權限提升弱點,允許貢獻者發佈貼文及使用者重新指派作者身分。(CVE-2013-2200)

- 存在一個與上傳媒體有關的跨網站指令碼弱點。(CVE-2013-2201)

- 'oEmbed' 中有一個 XML 外部實體插入 (XXE) 弱點。(CVE-2013-2202)

- 存在一個與檔案上傳有關而會洩漏完整檔案路徑的弱點。(CVE-2013-2203)

- 存在一個與 'TinyMCE' 程式庫有關的跨網站指令碼弱點。(CVE-2013-2204)

- 應用程式受到 'SWFUpload' 程式庫中的一個跨網站指令碼弱點影響。
 (CVE-2013-2205)

- 'post.php' 指令碼中有多個與 'excerpt' 和 'content' 參數有關的跨網站指令碼弱點。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 WordPress 3.5.2 或更新版本。

另請參閱

https://wordpress.org/news/2013/06/wordpress-3-5-2/

https://codex.wordpress.org/Version_3.5.2

http://www.nessus.org/u?af0aeb24

https://seclists.org/fulldisclosure/2013/Jul/7

Plugin 詳細資訊

嚴重性: Medium

ID: 67021

檔案名稱: wordpress_3_5_2.nasl

版本: 1.14

類型: remote

系列: CGI abuses

已發布: 2013/6/28

已更新: 2021/1/19

組態: 啟用 Paranoid 模式

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

弱點資訊

CPE: cpe:/a:wordpress:wordpress

必要的 KB 項目: installed_sw/WordPress, www/PHP, Settings/ParanoidReport

可輕鬆利用: No exploit is required

修補程式發佈日期: 2013/6/21

弱點發布日期: 2013/6/21

參考資訊

CVE: CVE-2013-2173, CVE-2013-2199, CVE-2013-2200, CVE-2013-2201, CVE-2013-2202, CVE-2013-2203, CVE-2013-2204, CVE-2013-2205

BID: 60477, 60757, 60758, 60759, 60770, 60775, 60781, 60825, 60892

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990